Perpanjang enkripsi MACSec melalui jembatan penyedia

11

Saya sudah mengajukan pertanyaan ini di SF, tetapi saya pikir itu mungkin lebih cocok di sini.

Apakah mungkin untuk memperluas enkripsi MACSec melalui jembatan penyedia? Apakah implementasi 802.1ad yang khas dapat meneruskan frame terenkripsi, atau akan meneruskan integritas frame putus?

Saya menyadari MACSec dimaksudkan untuk keamanan hop-by-hop. Adakah alasan untuk tidak menggunakan MACSec untuk enkripsi point-to-point melalui operator, atau pertimbangan khusus lainnya yang harus dipertimbangkan?

Alasan saya bertanya adalah bahwa perangkat keras MACSec menawarkan enkripsi kecepatan kabel di sebagian kecil dari biaya khas yang terkait dengan enkripsi lapisan 2.

Saya tidak memiliki perwakilan untuk menambahkan tag baru, tetapi jangan ragu untuk menambahkan tag yang relevan untuk MACSec, PBN, 802.1ad dan 802.1ae dll

ethernet security Roy
sumber

Jawaban:

4

MacSec (yaitu 802.1ae-2006) adalah teknologi enkripsi loncatan demi loncatan ... Oleh karena itu MacSec yang dijembatani oleh penyedia tidak mungkin saat ini; Namun, ada pembicaraan santai enkripsi MacSec per-hop

Mike Pennington
sumber
Tetapi jika frame terenkripsi MACSec dienkapsulasi dan ditandai dengan S-VLAN saat masuk, diteruskan melalui PBN dan enkapsulasi S-VLAN dihapus pada jalan keluar di sisi lain. Tidakkah sakelar pelanggan melihat ini sebagai satu lompatan, seperti halnya dengan EoMPLS? Mungkin didukung oleh offset enkripsi, sehingga tag C-VLAN masih terlihat?
Roy
Terima kasih untuk tautannya, btw. Saya sudah memiliki dokumen itu di atas meja saya, meskipun beberapa di antaranya sangat tidak dapat dipahami oleh saya :)
Roy
Jika Anda membaca halaman pertama makalah ini, itu menjelaskan dengan sangat jelas bahwa PBN tidak didukung hari ini ... "Catatan ini menjelaskan mengapa IEEE 802.1AE – 2006 tidak termasuk kemungkinan multi-hop yang mungkin tampak 'menarik' pada pandangan pertama"
Mike Pennington
1
Nah, di dalam ingress juga tertulis "Catatan ini menjelaskan mengapa jembatan ini bisa diperlakukan sebagai 'loncatan tunggal'". Saya harap Anda dapat melihat mengapa saya menemukan ini sedikit membingungkan, terutama mengingat enkapsulasi EoMPLS tampaknya berfungsi dengan baik.
Roy
1

Dari apa yang saya kumpulkan sejauh ini jika titik akhir MACsec ke mana C-tag / kemudian tambahkan header detik maka s-tag dan PBN meneruskan frame berdasarkan pada s-tag yang dibuat titik akhir MACsec itu harus bekerja. Ketidakjelasan datang ketika PBN menambahkan s-tag ke frame yang mengubah FCS dan mungkin mengingatkan titik akhir lainnya bahwa frame telah dirusak / dimodifikasi dan oleh karena itu integritas tidak dapat divalidasi. Saya tidak 100% tentang ini, tetapi itulah yang saya pikir terus ujung ke ujung MACsec dari bekerja.

pengguna6121
sumber
Untuk mereka yang agak akrab dengan terminologi carrier Ethernet: PBN : Provider Bridge Network , C-Tag : Tag VLAN Pelanggan, S-Tag : Tag VLAN Layanan, FCS : Urutan Pemeriksaan Frame
Jonathon Reinhart